Antallet af netbankindbrud stiger trods NemID

NemID har ikke sat en stopper for netbankindbrud i Danmark – kun skabt et kort pusterum. Antallet af indbrud er hastigt på vej op på niveauet fra før NemID.

I de første seks måneder af i år er der begået fire gange så mange indbrud i danske netbanker som i hele 2011. Og i omkring halvdelen af tilfældene er det også lykkedes de kriminelle at få pengene udbetalt i udlandet, efter at de har stjålet dem i en dansk netbank.

Målt i kroner og øre er det siden indførelsen af NemID lykkedes it-kriminelle at stjæle mere end 2,6 millioner kroner fra kunder i danske netbanker – størstedelen i de første tre måneder af i år, hvor der blev stjålet 2,3 millioner kroner.

Det er det tredjehøjeste beløb, der på et kvartal er blevet stjålet ved netbankindbrud i Danmark – kun overgået af perioden inden indførelsen af NemID.

Danmark ikke ‘et sværere mål’

Målet med NemID var blandt andet at sikre netbankerne bedre. I 2011 sagde juridisk konsulent i Finansrådet Henriette Rolskov således til Nyhedsbrevet Finans:

»Mange af de hackere, der begår kriminalitet, går efter de lette mål for at opnå en gevinst. Med NemID er Danmark blevet et sværere mål, og derfor søger hackerne andre steder hen.«

Men det er tydeligvis ikke længere gældende, og derfor lyder vurderingen således også anderledes, når Ingeniøren nu kontakter Jesper Goul, der også er juridisk konsulent hos Finansrådet:

»I en periode med NemID kunne vi se, at tallene faldt, men vi vidste godt, at det ikke ville holde. Nu sker det så. Første kvartal var ikke sjovt, og der kan vi se, at der skal en større indsats til.«

En større indsats betyder dog ikke, at bankernes kunder skal til at gå igennem mere besværlige login--procedurer, fortæller Jesper Goul:

»Her og nu er NemID god nok. Det er vi trygge ved. Vores interne systemer skal køre optimalt, og så gør vi os hele tiden nogle tanker om, hvordan fremtidens systemer ser ud.«

Vil fortsat stige

David Jacoby er sikkerhedsekspert for antivirusfirmaet Kaspersky og arbejder tæt sammen med de svenske myndigheder i sager om netbankkriminalitet. Han fortæller, at antallet
af netbankindbrud i Danmark og resten af verden ser ud til fortsat at stige:

»I Europa har vi været utroligt heldige i lang tid i forhold til økonomisk it-kriminalitet som netbankindbrud. I områder som Asien og Sydamerika er man hårdere ramt, fordi sikkerheden er ringere. Men alt tyder på, at der selv i Europa vil være en stigning i antallet af angreb.«

David Jacoby underbygger dette med, at Kasperskys sikkerhedssoftware har registreret en voldsom stigning på danske brugeres computere i mængden af malware rettet mod banker. Alene i årets første tre måneder var der henholdsvis 67, 129 og 173 såkaldte detektioner af virus. Samme tendens var der også i 2011, hvor februar og marts klart var de mest udsatte måneder.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (40)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Allan S. Hansen

Det er "sjovt" når mange af de argumenter der blevet brugt til at sælge NemID, nu ikke holder.

Jeg husker stadig et af argumenterne var at den digitale signatur/lokal nøglefil krævede at brugerens computer var opdateret og virus fri og at NemID ikke ville være såbar på samme måde. En anden var at NemID ville modvirke 'netbankindbrud'.

Så nu sidder vi med dette systemt uden reelt at have opnået noget som helst. Det er da "sjovt", er det ikke?

  • 30
  • 3
#2 Anonym

Nu er der jo kun én angrebsflade at gå efter.. Når den er penetreret, så er der frit på alle hylder..

Hvis jeg udvikler en genial måde at bryde ind via NemID på, så har jeg adgang til alle borgernes NemID.. Det burde vel ikke være nogen nyhed?

  • 27
  • 0
#6 Michael Nielsen

Når man ændre noget vil antallet af angreb altid falde, kortvarigt, fordi angriberne skal lige analysere, og forstå den nye måde..

Hvis man gør det rigtig, altså indfør et sikkert system, der fungere efter hensigten, vil dette fald være permanent..

MEN som i NemID's tilfælde, så er den sikkerhed kun marginalt bedre end et almindeligt password, og er ufattelig sårbar over for MITM..

Derfor er det naturligt at når det indføres så falder antallet af angreb, fordi modstanderen skal lige forstå og analysere hvad konsekvensen af teknologien er, men så snart de har analyseret det, kommer antallet af angreb tilbage til det normale niveau..

Dette er hvad vi har set med NemID.

Bare sørgeligt at DanID, bankerne, og staten ikke har lyttet til den gruppe af os som havde gennemanalyseret NemID, og på peget dens svaghed, før hackerne fik deres systemer i luften...

Men Ak nej, Danskere må ikke få rigtig sikkerhed..

  • 16
  • 3
#8 Erik Jensen

Man kan læse figuren i artiklen på mange måder. Tager man ja-hatten på, så er det jo tydeligt, at NemID har begrænset det stjålne beløb. Hvis man fremskriver den eksponentielt stigende graf fra før NemID, så ville vi have været oppe på måske 100 mio. kr, hvis vi ikke havde fået NemID.

Men sådan kan man naturligvis ikke læse grafen. For man kan ikke rigtig konkludere noget ud fra den. At antallet/beløbet stiger kan jo lige så godt skyldes, at det er blevet lettere at få fat i de stjålne beløb, at antallet af tyve er steget eller at sikkerheden i den fysiske verden (bankerne) er steget.

Som det også fremgår af artiklen, er sikkerhed ikke en statisk ting. Det er næppe muligt at lave et systen, som både er helt sikkert, og som alle kan finde ud af at betjene. Det vil altid være afvejning af sikkerhedsniveau i forhold til trussel.

  • 15
  • 2
#9 David Rechnagel Udsen

Når jeg hører om gidseltagningen i Toulouse i Frankrig, p.g.a. et bankrøveri, der gik galt, kommer jeg til at tænke på, at det at røve banker og pengetransporter, næppe er særlig profitable løsninger i det lange løb.

Udbyttet er lille, og risikoen er høj. Men tag derimod netbanksindbrud, her er udbyttet måske meget mindre per indbrud, men risikoen for at blive fanget er også næsten ikke eksisterende, og man kan foretage mange indbrud i løbet af en dag.

Det bør vel ikke undrer nogen, at bankrøverier i fremtiden vil falde og indbrud på folks netbankskonti vil stige. Drastisk. EDB-kriminalitet er uden tvivl et slaraffenland for kriminelle, det er så meget nemmere, det gør ikke noget hvis 80%-90% af dine forsøg røger i vasken, for du kan laver så mange, hele tiden. Og risikoen. Hah, hvilken risiko?

Så jeg vil ikke høre snak om at skaffe os af med kontanter lige foreløbig!

NemID har kun gjort alle danske netbanke homogene med den samme lås, hvor de før havde hver deres egen. Det vil gøre Danmark eftertragtet for EDB-kriminelle, da danskerne godt kan forventes at have mange penge.

Hvem ved, måske vil det gøre at de faktisk gider at tage sig sammen og lære dansk for en gangs skyld!

  • 11
  • 1
#10 Erik Jensen

Men det skyldes vel hovedsageligt, at efterforskningen ikke kan følge med/er kompetent nok?

For der må da være relativt godt muligheder for at følge sporene i disse sager, hvis man reagerer hurtigt. Det må alt andet lige være vanskeligt ikke at efterlade sig digitale spor, som gør det muligt at følge pengestrømmen direkte til forbryderen.

  • 3
  • 1
#12 Rune Larsen

Hvis man [...] indfør et sikkert system, der fungere efter hensigten, vil dette fald være permanent..

Nu er du naiv. It-sikkerhed er et kapløb mellem dem der har noget at sikre, og dem der har noget ud af at angribe det og begge sider gør hele tiden fremskridt i at nå deres mål. Det har iøvrigt også været Danids holdning fra starten.

MEN som i NemID's tilfælde, så er den sikkerhed kun marginalt bedre end et almindeligt password.

Vrøvl. En to-faktor-løsning er en kæmpe forbedring ift. et enkelt sølle password, hvilket grafen over indbrud dokumenterer med de ekstremt lave tal for 2010 og 2011. NemId har givet bankerne et forspring på 4-5 år, hvilket i min bog er ret godt gået.

Men intet varer evigt, og vi må snart indstille os på, at vi snart skal længere ud mod brugeren for at sikre kommunikationen.

Det bliver langt mere bøvlet at gå på netbank i fremtiden og folk kommer til at hade det. Det havde været forkert at indføre et mere sikkert, men også dyrere og langt mere bøvlet system før der er brug for det og før teknologierne hertil er modne.

  • 7
  • 9
#14 Keld Simonsen

Rune Larsen: "Vrøvl. En to-faktor-løsning er en kæmpe forbedring ift. et enkelt sølle password, hvilket grafen over indbrud dokumenterer med de ekstremt lave tal for 2010 og 2011. NemId har givet bankerne et forspring på 4-5 år, hvilket i min bog er ret godt gået."

Altså, den gamle løsning var to-faktor: du skulle have en nøglefil, og du skulle have din adgangskode i hovedet.

Og incidents er eksploderet efter indførelsen af nemid. I de to første kvartaler af 2011 var antal incidents 0 - skriver NUL - og der var ingen Nemid. Så man har skrottet et cirka fejlfrit system til fordel for et system der har en utrolig masse sikkerhedsproblemer...

(kunne nogen hævde. Jeg synes dog at nemid er en lille forbedring sikkerhedsmæssigt for bankerne, men ikke for forbrugerne, der skal slås med trojanerproblematikken.)

  • 6
  • 2
#15 Michael Lykke

Vrøvl. En to-faktor-løsning er en kæmpe forbedring ift. et enkelt sølle password, hvilket grafen over indbrud dokumenterer med de ekstremt lave tal for 2010 og 2011. NemId har givet bankerne et forspring på 4-5 år, hvilket i min bog er ret godt gået.

Vrøvl! NemID har ikke givet bankerne noget forspring... De har i en kort periode sænket antallet af indbrud fordi der skulle findes en ny metode til at skaffe adgang. Det er logik for burhøns at NemID i sidste ende vil gøre det nemmere at begå indbrud end med de gamle systemer. De gamle systemer var som regel forbundet med et kodeord, et bruger id og en tilhørende nøglefil - Og det er en hel del mere besværligt at hacke tusindevis af individuelle computere for at få nøglefilerne end det er at lave et MITM angreb som kan ramme samtlige kunder på én gang.

  • 6
  • 4
#16 Michael Nielsen

Nu er du naiv. It-sikkerhed er et kapløb mellem dem der har noget at sikre, og dem der har noget ud af at angribe det og begge sider gør hele tiden fremskridt i at nå deres mål. Det har iøvrigt også været Danids holdning fra starten

Naiv, nej en mindre overdrivelse for at fremme forståelsen.

Mig bekendt er det ikke lykkes nogen at bryde RSA nøgler > 2048 bits endnu, ej heller RC5, og variationer der på.

Hvad jeg mener med at gøre det rigtig er at benytte de korrekte metoder. som er definieret i divs standarder, feks at benytte mutual authentication, hardware nøgler i stedet for software nøgler m.v.

Derved kunne man havde brugt de 2.4 millarder til at lave en løsning der er fremtids sikret, hvor man hver 4-5. år bare skal skifte en hardware dims ud til en nyere model, med stærkere kryptering. altså i en IT verden der bevæger sig så hurtigt som den gør, nærmest permanent, da der ikke behøver at komme nye systemer i de næste 20 år.

Vrøvl. En to-faktor-løsning er en kæmpe forbedring ift. et enkelt sølle password, hvilket grafen over indbrud dokumenterer med de ekstremt lave tal for 2010 og 2011. NemId har givet bankerne et forspring på 4-5 år, hvilket i min bog er ret godt gået.

NemID var brudt allerede fä måneder efter den første implementering, var løsladt, jeg beskrev metoden for at hacke den, og har råb op om, det.. At hackerne ikke har brugt den før nu, er et mysterie i mine øjne, men det tager nok et par år at sætte op et netværk af konti der ikke kan spores tilbage til en person her i landet, eller udlandet..

Så jeg vil ikke kalde det godt gået, men snarere, ufatteligt heldigt at der ikke har været mere fokus på det fra de kriminelle.

Vedr. 2-faktor er en kæmpe forbedring - Det er altså noget vås (i NemID tilfældet) det eneste NemID's 2-faktor authentication, beskytter imod, er "REPLAY attack", jeg kan lave en password løsning der også beskytter mod Replay attacks, uden at bruge 2 faktor (har faktisk lavet det en gang før, og det har været igennem en professionel audit), og den vil være lige så sikker som NemID løsningen.. Faktisk bare det at køre SSL/HTTPS giver den samme niveau af beskyttelse som NemID's 2-faktor løsning, da det også beskytter mod Replay attacks.

2-faktor, hvor det hele sendes åbent på nettet, virker bare ikke, fordi det er ufattelig sårbar over for MITM, så der er kun en meget minimal forbedring i sikkerheden ved at implementere 2-faktor sikkerhed forkert!

MEN havde man implementeret det rigtigt, ville det havde været en enorm forbedring, men NemID er ikke en ægte 2-faktor løsning..

Men intet varer evigt, og vi må snart indstille os på, at vi snart skal længere ud mod brugeren for at sikre kommunikationen.

Det bliver langt mere bøvlet at gå på netbank i fremtiden og folk kommer til at hade det. Det havde været forkert at indføre et mere sikkert, men også dyrere og langt mere bøvlet system før der er brug for det og før teknologierne hertil er modne.

Nej, det benøver NETOP ikke være mere bøvlet, det er bare et forsvar DanID ønsker at udbringe.

Har du set ChipTan - er det mere bøvlet end NemID ? Den løsning kræver bare du holder en terminal op mod skærmen, og overfører et nummer der passer til transaktionen, mens brugeren har alt kontrol...

Alternativet er at lave en USB enhed, der har en knap tilføjet, og en skærm der viser transaktionen, eller en voice unit, der læser transaktionen op, vil gøre det nemmere for handicappede at bruge systemet, end NemID, samme med svagt seende, osv..

Faktisk kan det gøres sikkert (altså så længe krypterings algorithmen er sikker) og nemmere end i dag..

Som andre har påpeget, så har NemID medført at man skal hacke et homogent system alle bruger, det betyder, et hack rammer 2 millioner brugere. Hvor ved det gamle system (som var lavet korrekt, bortset fra software nøgler), hvor hackerne skulle hacke millioner af computere, for at vinde noget..

Altså gevinst/pris ved at hacke NemID er ufattlig høj, en lille indsats giver mange penge.. Ved det gamle system var gevindst/pris moderat lav, du skulle arbejde hård på at hacke et heterogent system (uens), for at få en konti hacket, altså omkostnigerne var høje, og gevindsten lav.

  • 18
  • 1
#17 Niels Didriksen

Den komedie fortsætter...

Endnu engang er det gået som realisterne spåede..

Det så usigeligt trist, at vores politikere ikke kan forstå, de har et ansvar i denne sag. Ikke mindst når deres beslutningsgrundlag påviseligt hviler på løgn og bedrag..

I 2011 sagde Finansrådet Henriette Rolskov Nyhedsbrevet Finans:

»Mange af de hackere, der begår kriminalitet, går efter de lette mål for at opnå en gevinst. Med NemID er Danmark blevet et sværere mål, og derfor søger hackerne andre steder hen.«

Aha.. Javel, ja... Talløse kompetente sikkerhedsfolk bestred dette, af forskellige årsager. Heriblandt problemet med homogenisering, og med f.eks. MITM.

Men sørme, antal af indbrud faldt, og bankkartellet/&Digistyrelsen rullede de store reklamekanoner ud og malkede den statistisk kuriøsitet for alt hvad den kunne trække... Med lettere fordrejede facts kundgjorde de at lyksaligheden kunne tilskrives NemID's fantastiske sikkerhedsniveau.

Og nu hvor det statistiske blip kan ses i perspektiv, er finansrådet ude med følgende:

»I en periode med NemID kunne vi se, at tallene faldt, men vi vidste godt, at det ikke ville holde. Nu sker det så. Første kvartal var ikke sjovt, og der kan vi se, at der skal en større indsats til.«

Aaaha! Jeg ser 2 muligheder.

Enten er de grebet på sengen, og havde ikke kompetence til at forudse det scenarie som den faglige omverden har påpeget længe, og for ikke at fremstå som totale idioter, påstår de nu at "det vidste vi godt og ventede på det og nu må vi se på hvad vi så gør".

Den anden mulighed er endnu mere skræmmende: At de UDEMÆRKET VIDSTE at alle deres påstande om NemID's sikkerhed var løgn, og at disse problemer blev benægtet for beslutningstagere, og hemmeligholdt for politikere og befolkningen. Indtil de nu blev tvungne til at diskutere emnet. :P

Og slutteligt er der dem der påpeger, at selvom mængden af indbrud stiger, gør den stjålne mængde penge ikke...

Skulle det være godt???? Det understreger vel bare, at bankerne gør markant mere for at passe på deres penge end på borgernes digitale identiteter...

.. Vi har seriøst brug for et IT-parti.

  • 17
  • 2
#18 Erik Jensen

Det er logik for burhøns at NemID i sidste ende vil gøre det nemmere at begå indbrud end med de gamle systemer.

Jeg er nok ikke en burhøne, og kan derfor ikke følge logikken. NemId løser da en række problemer, som den gamle løsning ikke håndterede.

F.eks. skal angrebet foregå i nær realtid, da brugeren skal franares en engangskode. I gamle system kunne du stjæle nøglen, og vente måneder eller år, før du angreb. Og du kunne angribe flere gange.

Kan desuden ikke se, at det er meget vanskeligere at installere malware på tusindevis at computre, og stæle nøglefil og kodeord, end det er at installere malware på tusindevis at computere og lave MITM angreb i realtid.

Hvis der skal laves MITM angreb på samtlige nemid kunder på en gang, kræver det så ikke at DanIds servere eller dns-systemet kompromiteres? Og hvis dette er muligt, hvad forhindrer så at det samme skete i det gamle system?

  • 7
  • 4
#20 Michael Nielsen

Jeg er nok ikke en burhøne, og kan derfor ikke følge logikken. NemId løser da en række problemer, som den gamle løsning ikke håndterede.

Som feks. ?

F.eks. skal angrebet foregå i nær realtid, da brugeren skal franares en engangskode. I gamle system kunne du stjæle nøglen, og vente måneder eller år, før du angreb. Og du kunne angribe flere gange.

Du arbejder åbenbart ikke med IT, dette er næsten det nemmeste at gøre..

Jeg sætter en server op (min fælde), og så går jeg væk, og glemmer alt om det, om nogle måneder kigger jeg på min bank konti, og ser hvor mange penge er gået ind.. Altså for en hackers synspunkt, skal man bare automatisere en standard process - jeg gør det hver dag- i lovlige henseende, så jeg ved hvor nemt det er.

Den Gamle løsning havde en svaghed, i at den brugte software nøgler... Det ENESTE man havde behov for at gøre ved den gamle løsning er at benytte hardware tokens (de findes i masservis, og endda den gang NemID var implementeret). Sådan en nøgle koste mellem 100 - 400 dkk (i 10 styks pakker), eller ca 800 millioner til ca 2 milliarder (kommer an på antallet af bruger).. Men i stedet for at rette den lille fejl i det gamle system, valgte man at spilde 2.4 millarder på at genopfinde den dybe tallerken uden at løse de basale problemer.

Kan desuden ikke se, at det er meget vanskeligere at installere malware på tusindevis at computre, og stæle nøglefil og kodeord, end det er at installere malware på tusindevis at computere og lave MITM angreb i realtid. [/qoute]

Igen mangel på fantasi, jeg havde beskyttet min nøgle fil så hårdt, at jeg er villig til at vædde penge med hvem som-helst om at de ikke kunne få fat i min nøgle fil, jeg kan endda nemt forklare selv begynder hvordan man gør. - faktisk bare opret en 2. bruger på din computer, som du KUN bruger til netbank (blokere andre bruger for at se denne brugers data), og det med at stjæle nøglen er meget meget svært, da du skal hacke operativ systemet, I det der findes 16-20 varianter af operativ systemer, så er det ikke trivielt.. \

Vil man øge sikkerheden mere, benytter man dual boot, eller virtuelle maskiner - dette er dog mere komplekst.

At hacke en naive bruger, der ikke gider høre på anbefalinger er nemt, uanset, om du bruger det nye system, eller det gamle... Forskellen er bare at med det nye NemID, kan IT-kyndige ikke beskytte deres systemer, fordi kontrollen over sikkerheden er flyttet væk fra brugeren.

[quote] Hvis der skal laves MITM angreb på samtlige nemid kunder på en gang, kræver det så ikke at DanIds servere eller dns-systemet kompromiteres? Og hvis dette er muligt, hvad forhindrer så at det samme skete i det gamle system

Til dit første spørgsmål.

Nej, jeg behøver ikke hacke noget som helst (altså computer systemer) for at hacke NemID, jeg behøver ingen gang bruge malware, jeg kan gøre det på flere måder, feks.

(beklager ikke for at hænge danske bank ud, men bare et eksemple på navene) www.Dansbank.dk www.danskkbank.dk www.danskebank.nu

Så sender jeg en email til brugeren om at de skal skifte password, eller et eller andet og giver dem et link.. Det link ligner nok til at omkring 80% af naive brugere vil clicke på linket, og nu får jeg dem til at logge ind... De har frivilligt givet mig alle de informationer jeg har brug for, for at kunne lænse din konto... Det var hvordan de første angreb gjorde.

En anden metode er netop som man ville bruge til at stjæle nøgle filer med, jeg sender en trojan ind på din computer - jeg ved det tager ca 1 månede før den bliver opdaget, og blokeret - den ændre på dine proxy instillinger i den browser, og sender dig via min server, (men kun hvis du skriver danskebank.dk), nu kan jeg så pille ved din kommunikation, og stjæle alt fra dig.

Det andet spørgsmål du stiller, fortæller mig at du ikke forstår krytografi, specifikt public-private key - jeg vil forslå at slå det op på nettet.... Men basalt set..

Jeg har 2 nøgler en der låser, og en der låser op.. Banken har det samme...

På et tidspunkt har jeg givet banke men låse op nøgle, og banken har givet mig deres..

Så jeg låser noget tekst med min hemmelige nøgle, og sender det åbent til banken...

Ingen ud over mig kunne havde låst den tekst, og banken kan bekræfte at den nøgle jeg har givet dem kan låse det op, hvor ved de ved jeg har låst den.. Banken gør det samme, og jeg kan bekræft at banken har låst teksten.

Det betyder INGEN kan bruge MITM til at hacke mig, selv hvis du fik mig omdirigeret til din server, vil du kun se krypteret volapyk, som du skal cracke, og med nuværende computer power, snakker vi 2-3 år for at cracke nøglerne. Altså ikke muligt real-time...

For at hacke den gamle løsning skulle du enten hacke brugerens computer eller serveren... MITM var ikke muligt. Ved at introducere et hardware krypto token bliver malware irrelevant, og nu skal du hacke krypto tokenet, eller serveren.

Jeg tror jeg ligger mit dokument ud på nettet om sikkerhed..

  • 12
  • 3
#21 Michael Nielsen

NemId kan jo mere end blot sige ok til en bankoverførsel. Hvordan vil du lave generel signering af kontrakter og lign. dokumenter med ChipTan ?

Nu er hverken NemID eller chiptan Digitale Signaturer og selv DanID har droppet betegnelsen, fordi NemID overholder ikke lovene vedrørende digitale signature.

ChipTan og NemID, løser kun et problem, og det er en login problematik og bekræftigelse af real-time transaktioner...

Derfor kan du reelt heller ikke signere et dokument med NemID, da det ikke overholder loven om digitale signature.

Dette er hvorfor jeg siger vi burde havde gjordt det korrekt, og lavede en fuld digital signature, baseret på den gammle måde og indført hardware krypto tokens...

  • 6
  • 1
#22 Gert Madsen

Som det også fremgår af grafen, så blev der ikke registreret nogen netbank-indbrud det seneste halve år INDEN NemID blev introduceret.

Så at tilskrive NemID æren for det dyk, er helt hen i vejret.

Ærligt talt, der er behov for information om NemID - ikke for spredning af fornægtelse og ønskedrømme fra DanID og Finansrådet.

  • 11
  • 0
#24 Michael T. Jensen

Så sender jeg en email til brugeren om at de skal skifte password, eller et eller andet og giver dem et link.

Jamen det kunne Danske Bank jo aldrig finde på at gøre! Denne sikkerhedsmodel er hele sikkerheden omkring NemID jo bygget op omkring og når banken aldrig kunne finde på at sende et sådant link ud i en mail, er det jo grov uagtsomhed fra brugernes side, at klikke på det. På den måde kan bankerne jo også begrænse deres tab, hvis deres tab begynder at stige for kraftigt ;-)

suk!

  • 4
  • 1
#25 Michael Nielsen

Jamen det kunne Danske Bank jo aldrig finde på at gøre! Denne sikkerhedsmodel er hele sikkerheden omkring NemID jo bygget op omkring og når banken aldrig kunne finde på at sende et sådant link ud i en mail, er det jo grov uagtsomhed fra brugernes side, at klikke på det. På den måde kan bankerne jo også begrænse deres tab, hvis deres tab begynder at stige for kraftigt ;-)

Korrekt, det kan man påstå.

Men min kontra påstand hvis de begynder på det, er at de kunne havde lavet deres system ordenligt, så det også beskyttede borgerne... Borgerne på trods af de gør noget uansvarligt, er tvunget til at bruge et system der ikke beskytter mod basale sikkerheds problemer.

Der er mange der naivt følger denne slags email instruction som altid bare er hackere der prøver at snyde... Men prøv at forklare til pensionister de ikke skal stole på breve fra deres bank...

Nej, det er ikke godt nok.

  • 7
  • 0
#27 Jørgen Sandberg

Der er andre systemer end NemID i verden såsom brug af en kodningsenhed hos hver bruger. Kodningsenheden bruges sammen med et bankpas med en chip. Systemet fungerer sådan, at ens pin-kode aldrig indtastes i computeren med internetadgang til netbanken. Systemet forkommer at være ret sikkert. Hvor mange hackere bryder det system pr måned? Er det bedre end NemID?

  • 3
  • 0
#28 Thomas Jensen

Alle og enhver kan lave en login boks frt ligner NemID og indlejre den i en hjemmeside.

Havde man istedet benyttet sig af standard SSL og åbnet en login side hos NemID kunne man se adresse og om certifikat var i orden. Man ville som bruger få valideret at det var den rigtige man snakkede med og det er alfa og omega i dette.

  • 6
  • 0
#29 Per Lind

Så, nu er der BEVIS for at det går den forkerte vej og jeg gætter på at IT-Syyrelsen og de andre klaphatte stadig er lige arrogante. UNemID har jo en fortrinlig forretning, som betales af brugerne og hvis de bliver pilket, så kan det jo ikke være deres problem.

Jeg tror snart det er på tide at en eller anden Dansker som bruger dette usikre system, rejser det først hos forbrugerombudsmanden og siden ved menneskerettigheds domstolene, hvorvidt vores Stat kan tving os til at bruge ét enkelt system (SOM STATEN HAR VALGT) eller om vi skal have nogle mere demokratiske principper på dagsordnen, så som flere valgmuligheder.

Min pointe er, de svagest stillede i samfundet som ikke har den sidste nye iPad (ups, det glemte jeg helt, der virker Java jo slet ikke!!!) eller ældre, svagtseende og døvstumme jo ikke har en chance for at hitte hoved eller hale i disse tosserier!

Vi har for 3 år siden tilbudt en side-løsning som bruger voice biometrics i stedet for en halv urskov af pap og de eneste som ikke kan bruge denne løsning er døvstumme i samfundet, da det jo er baseret på tale og hørelse.

Men som sædvanlig så sidder IT Styrelsen og UNemID i deres elfenbens tårne og ved bedre om alt! Giv os 6 måneder til et proof of concept, men så hvis det virker, som vi ved det kan, så skal der betales for det!

Kom så på banen UNemID!

Det undre mig hvor De Ældres Værn og andre Danske hjælpe organisationer gemmer sig i denne debat. Det viser åbenbart at de ikke forstår teknologien bag UNemID! Er de overhovedet interesserede???

Er det ikke bedre at få en mangfoldigere løsning på et problem som jo helt klart kun er en lappeløsning og for at skovle penge i egen lommer (UNemID's)?!!!!

  • 0
  • 0
#31 Erik Jensen

Som feks. ?

Gentagelse af angreb med samme nøgle, som er allerede er stjålet.

Du arbejder åbenbart ikke med IT, dette er næsten det nemmeste at gøre..

Ja, det er let at arbejde med IT. Det er åbenbart noget sværere at gå efter bolden end manden....

Det ENESTE man havde behov for at gøre ved den gamle løsning er at benytte hardware tokens .... eller ca 800 millioner til ca 2 milliarder

Noget naivt at tro, at der kun er udgifter til hardware tokens ved en sådan løsning. g hvad med brugervenligheden. Kan fru Jensen finde ud af det?

jeg havde beskyttet min nøgle fil så hårdt, at jeg er villig til at vædde penge med hvem som-helst om at de ikke kunne få fat i min nøgle fil, jeg kan endda nemt forklare selv begynder hvordan man gør.

Dejligt for dig. Men hvad med fru Hansen?

Nej, jeg behøver ikke hacke noget som helst (altså computer systemer)

Fair nok. Havde ikke tænke på den mulighed.

Det andet spørgsmål du stiller, fortæller mig at du ikke forstår krytografi, specifikt public-private key.

Bold. Ikke mand. Jeg forstår godt krytografi.

Jeg spørger specifikt, hvordan du laver MITM angreb på samtlige NemId brugere på en gang, som du påstår det muligt i dit første indlæg.

  • 5
  • 2
#32 Anonym

Problemet med NemID er den manglende sikkerhed i identifikationen. Man skal kunne verificere sikkert, altså entydigt kunne fastsætte identiteter.

Der kan fluekneppes meget omkring hvad en identitet er, men ikke i forbindelse med identifikation i juridisk sammenhæng. I juridisk sammenhæng, er en identitet et gensidigt forhold, hvor den enkelte identitet og myndigheden ( f.eks. Staten Danmark ) gensidigt anerkender hinanden. Staten skal anerkende det juridiske tilhørsforhold af identiteten, men identiteten skal tilsvarende anerkende sig som tilhørende Staten. Det er sådan det basalt hænger sammen.

KUN når den enkelte identitet og myndigheden, sikkert og entydigt kan dokumenterer dette gensidige tilhørsforhold, over for ALLE identiteter, kan der være tale om sikker og entydig identifikation. Det er vigtigt at der her er tale om, at man her kan identificere sig over for alle. For ellers vil alle dem man ikke kan identificerer sig over for, undlade at acceptere ens identitet.

Yderligere er der en række basale regler der skal overholdes, bl.a. skal det være den enkelte identitet selv, der vælger hvornår der skal identificeres, og over for hvem. Det kan kan aldrig være DanID eller Staten, der har dette valg, for dermed tvinges den enkelte identitet til at associerer sig med nogen af Staten / DanID få udvalgte. ( Totalitært styret identifikation, er grundlaget for totalitære styreform )

Ligeledes skal selve ansvaret for selve identifikationen, ligge hos den enkelte identitet, således at udbyderen ( Staten eller dennes repræsentant ) kun bekræfter, at der er tale om rette juridiske tilhørsforhold, uden egentlig at indgå i identifikationen.

Det er det mest basale grundlag for et hvilket som helst frit demokratisk retssamfund. Det er denne gensidighed, som danner grundlaget. At man kan identificere sit juridiske tilhørsforhold, når man vil, og på en sikker måde.

Det er ikke så svært. Hvis man vil dokumentere hvem man er, så hiver man sit pas op af lommen, og dokumenterer hvem man er, over for dem man ømsker at identificerer sig over for. Det går bare ikke, at man har et system som NemID, hvor det er DanID / Staten, som bestemmer, hvem, hvordan, og hvornår der skal identificeres, i et lukket men kompromiterbart system. Det åbner jo netop, for identitetsmisbrug, også i forbindelse med NetBanking.

Identificeringen SKAL være på plads i en løsning som NemID. Jeg vil stærkt anbefale at finanssektoren holder sig til finans, og på alle måder bliver blandet uden om en hver form for bred identifikation. Finanssektoren bør holde sig til finanser, hvilket de kun kan blive bedre til. At skrue sikre identifikationsløsninger sammen, er ikke finanssektorens metier. Derfor vil NemID aldrig blive sikkert, det vil kun blive en loginløsning skruet sammen så set passer bedst ind i finanssektorens ønsker, intet andet. Og det er alle andre der kommer til at betale og stå til regnskab.

  • 1
  • 2
#33 Anonym

@ Erik Jensen

Jeg spørger specifikt, hvordan du laver MITM angreb på samtlige NemId brugere på en gang, som du påstår det muligt i dit første indlæg.

Ved at flytte driften af NemID uden for Danmark, og dermed uden for Dansk jyridisk grundlag. Ellers er det bare at kigge på angreb som Stux eller Flame. At den slags forekommer er dokumenteret. Bemærk, at jeg ikke her forholder mig særskilt til hvem der angriber, kun at det er muligt og har været det i en del år. Det er kun et spørgsmål om rette kapacitet, så er alle muligheder åbne.

  • 1
  • 4
#35 Anonym

Jo. De grundlæggende sikkerhedsmekanismer, er de samme som de altid har været. Det er kun et spørgsmål om implementeringen på internettet.

F.eks. så er det kun den enkelte identitet, som bestemmer i hvilken identifikationssituation identiteten ønsker at blive identificeret. Det er kun den enkelte identitet som kan identificerer sig selv, altså ikke som NemID, hvor det er andre som identificerer på vegne af den enkelte identitet.

Når man får alle disse elementære ting på plads, så er der grundlag fpr at skabe en statisk løsning på den dynamiske sikkerhedsproblematik. På tværs af platforme og de udbud som opstår i forbindelse med nettet.

Alt det med den ene eller anden kryptering, om nogen kigger en over skulderen osv. er helt sekundært. Det er noget man kan bygge på, og evt. tilbyde i sin løsning. Det grundlæggende, handler kun om, at den enkelte identitet kan dokumenterer dennes juridiske tilhørsforhold. Ellers er der ikke tale om, at man kan udøve loven.

  • 0
  • 1
#36 Ejnar Håkonsen

M.h.t. sporing af angrebene, så er den udlægning jeg sidste år hørte fra en af NemIDs udviklere, at størstedelen af angreb på europæiske banker stammer fra østeuropæiske mafia-grupper, i lande hvor de juridiske myndigheder står meget svagt. Man har i årene før NemID forsøgt sig med opfølgning på mange planer, men når retssystemet er korrupt og de lokale ISP'er har erfaret at der brændte en serverpark ned sidste gang de lukkede forbindelsen, er det ikke praktisk at følge op på de enkelte sager. Det er min opfattelse at banker generelt betragter pengene som tabt når først det er lykkedes at hæve dem i bagmændenes hjemland, og at en evt. opfølgning ikke bliver en erstatningssag, men små brikker i store sager om organiseret kriminalitet hos Interpol og lign.

Når man pointerer det kraftige fald i tyverier gennem hele 2010 (inkl. før NemID), skal man også tage i betragtning at cost-benefit analysen, i at knække bankernes seneste småjusteringer og opdatere de automatiserede løsninger, ser markant anderledes ud når man ved at disse systemer kun har et halvt år tilbage at køre på. Uanset ens holdning til NemID, synes jeg det virker naivt at den kurve spontant selve skulle være svundet ind med en faktor ~7, og tror mere det er udtryk for nogen ikke gad vedligeholde v1.8 til en snæver målgruppe, når man allerede planlagde at implementere v2.0 fra bunden.

  • 1
  • 0
#37 Niels Dybdahl

Jeg tror at politiet ville have nemmere ved at fange forbryderne, hvis bankerne gjorde mere for at sende en email eller SMS hver gang der blev overført et større beløb fra ens konto samtidigt med at de forsinkede overførslen nogle timer. Mange af indbrudene ville blive opdaget og rapporteret inden pengene bliver overført og man ville så kunne følge pengeoverførslerne. Hvis forbryderne blev fanget i bare 20% af tilfældene, så tror jeg at det vil sætte en stopper for det. En af mine banker sender mig allerede i dag en email hver gang jeg overfører mere end 100 kr fra min konto.

  • 2
  • 0
#38 Leif Guldbrand

Lidt OT og alligevel.... Hvorfor kan det ikke lade sig gøre at rapportere til en off. myndighed - i dette tilfælde SKAT, at der er en fejl ved "log in" via NemID??? Det kræves at man er logget ind - for at kunne sende en mail til SKAT :-(

This Connection is Untrusted

You have asked Firefox to connect securely to login.sikker-adgang.dk, but we can't confirm that your connection is secure. Normally, when you try to connect securely, sites will present trusted identification to prove that you are going to the right place. However, this site's identity can't be verified. What Should I Do?

If you usually connect to this site without problems, this error could mean that someone is trying to impersonate the site, and you shouldn't continue.

Det er ovenstående (snip) som alle eksperter fraråder, så lige pt. kan jeg ikke komme i kontakt med SKAT 2 dage i træk.

Jeg er stadig ufatbar ;-)

  • 3
  • 0
#39 Nicolas Østergaard

Men Fru Hansen kan heller ikke se om det er tilfældet med SSL. Hun tjekker sgu' ikke om adressen og certifikatet er i orden.

Så det giver ikke nogen væsentlig større sikkerhed.

Vedkommende behøver ikke tjekke om certifikatet er rigtigt i detaljerne - det gør webbrowseren jo. Det eneste man skal lægge mærke til, er om der er udråbstegn eller en gul/rød farve.

  • 0
  • 0
Log ind eller Opret konto for at kommentere